Fornire accesso a chiavi, certificati e segreti di Key Vault con controllo degli accessi basato sui ruoli di Azure

Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che garantisce una gestione centralizzata degli accessi alle risorse di Azure.

Azure RBAC consente agli utenti di gestire le autorizzazioni per chiavi, segreti e certificati e offre un unico punto per gestire tutte le autorizzazioni in tutte le casseforti delle chiavi.

Il modello di controllo degli accessi in base al ruolo Azure consente agli utenti di impostare le autorizzazioni per livelli di ambito diversi: gruppo di gestione, sottoscrizione, gruppo di risorse o singole risorse. Azure RBAC per Key Vault consente agli utenti di disporre di autorizzazioni separate per singole chiavi, segreti e certificati.

Per ulteriori informazioni, vedere controllo degli accessi in base ai ruoli di Azure (Azure RBAC).

Panoramica del modello Key Vault access

L'accesso a un key vault è controllato tramite due interfacce: il piano controllo e il piano dati.

Il piano di controllo è il punto in cui si gestisce l'istanza di Key Vault stessa. Le operazioni in questo piano includono la creazione e l'eliminazione di insiemi di credenziali, il recupero delle proprietà degli insiemi di credenziali e l'aggiornamento dei criteri di accesso.

Il piano dati è il punto in cui si lavora con i dati archiviati in un insieme di credenziali delle chiavi. È possibile aggiungere, eliminare e modificare chiavi, segreti e certificati.

Entrambi i piani usano Microsoft Entra ID per l'autenticazione. Per l'autorizzazione, il piano di controllo usa il controllo degli accessi basato sui ruoli di Azure (Azure RBAC) e il piano dati usa un criterio di accesso a Key Vault (legacy) o RBAC di Azure per le operazioni del piano dati di Key Vault.

Per accedere a un key vault in entrambi gli ambiti, tutti i chiamanti (utenti o applicazioni) devono disporre dell'autenticazione e dell'autorizzazione appropriate. L'autenticazione stabilisce l'identità del chiamante. L'autorizzazione determina le operazioni che il chiamante può eseguire.

Le applicazioni accedono ai piani attraverso gli endpoint. I controlli di accesso dei due piani funzionano in modo indipendente. Per concedere a un'applicazione l'accesso per l'uso delle chiavi in un insieme di credenziali delle chiavi, concedere l'accesso al piano dati usando il controllo degli accessi in base al ruolo di Azure o i criteri di accesso dell'insieme di credenziali delle chiavi. Per concedere a un utente l'accesso in lettura alle proprietà e ai tag dell'insieme di credenziali delle chiavi, ma non ai dati (chiavi, segreti o certificati), concedere l'accesso al piano di controllo con il controllo degli accessi in base al ruolo di Azure.

Endpoint del piano di accesso

La tabella seguente illustra gli endpoint per il controllo e i piani dati.

Gestione dell'accesso amministrativo a Key Vault

Quando si crea un key vault in un gruppo di risorse, è possibile gestire l'accesso usando Microsoft Entra ID. Si concede agli utenti o ai gruppi la possibilità di gestire i key vault in un gruppo di risorse. È possibile concedere access a un livello di ambito specifico assegnando i ruoli di Azure appropriati. Per concedere accesso a un utente per gestire i key vault, assegna un ruolo predefinito Key Vault Contributor all'utente in un ambito specifico. I livelli di ambito seguenti possono essere assegnati a un ruolo Azure:

• Subscription: un ruolo Azure assegnato a livello di sottoscrizione si applica a tutti i gruppi di risorse e le risorse all'interno di tale sottoscrizione.
• Gruppo di risorse: un ruolo Azure assegnato a livello di gruppo di risorse si applica a tutte le risorse del gruppo di risorse.
• Specific resource: un ruolo Azure assegnato per una risorsa specifica si applica a tale risorsa. In questo caso, la risorsa è un insieme di credenziali delle chiavi specifico.

Esistono diversi ruoli predefiniti. Se un ruolo predefinito non soddisfa le specifiche esigenze, è possibile definire un ruolo personalizzato. Per altre informazioni, vedere Azure RBAC: ruoli predefiniti.

Procedure consigliate per l'assegnazione di ruoli per chiavi, segreti e certificati individuali

È consigliabile usare un insieme di credenziali per ogni applicazione di ciascun ambiente (sviluppo, pre-produzione e produzione) con ruoli assegnati nell'ambito dell'insieme di credenziali delle chiavi.

Non è consigliabile assegnare ruoli su singole chiavi, segreti e certificati. Le eccezioni includono scenari in cui:

• I singoli segreti richiedono accesso utente individuale; ad esempio, quando gli utenti devono leggere la propria chiave privata SSH per autenticarsi su una macchina virtuale usando Azure Bastion.
• I singoli segreti devono essere condivisi tra più applicazioni; ad esempio, quando un'applicazione deve accedere ai dati di un'altra applicazione.

Per altre informazioni sulle linee guida per la gestione di Azure Key Vault, vedere:

• Secure your Azure Key Vault
• Azure Key Vault limiti del servizio

Ruoli predefiniti di Azure per le operazioni del piano dati Key Vault

Per altre informazioni sulle definizioni di ruoli predefiniti Azure, vedere Azure ruoli predefiniti.

Gestione delle assegnazioni di ruolo del piano dati Key Vault predefinite

Uso delle autorizzazioni per segreti, chiavi e certificati di Azure RBAC con Key Vault

Il nuovo modello di autorizzazione con controllo degli accessi in base al ruolo di Azure per Key Vault offre un'alternativa al modello di autorizzazioni con criteri di accesso all'insieme di credenziali.

Prerequisiti

È necessario avere una sottoscrizione Azure. In caso contrario, è possibile creare un account free prima di iniziare.

Per gestire le assegnazioni di ruolo, è necessario disporre delle autorizzazioni , come ad esempio Amministratore accesso dati di Key Vault (con autorizzazioni limitate per assegnare o rimuovere ruoli specifici di Key Vault), Amministratore accesso utente o Owner.

Abilitare le autorizzazioni RBAC di Azure per Key Vault

1. Abilitare le autorizzazioni con controllo degli accessi in base al ruolo di Azure in un nuovo insieme di credenziali delle chiavi:

   

2. Abilitare le autorizzazioni RBAC di Azure per i Key Vaults esistenti:

   

Assegnare un ruolo

az role assignment create --role {role-name-or-id} --assignee {assignee-upn}> --scope {scope}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName {role-name} -SignInName {assignee-upn} -Scope {scope}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName Reader -ApplicationId {application-id} -Scope {scope}

Assegnazione di ruolo nell'ambito di un gruppo di risorse

az role assignment create --role "Key Vault Reader" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Reader' -SignInName {assignee-upn} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Reader' -ApplicationId {application-id} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

L'assegnazione di ruolo precedente consente di elencare gli oggetti dell'insieme di credenziali delle chiavi in Key Vault.

assegnazione di ruolo nell'ambito di Key Vault

az role assignment create --role "Key Vault Secrets Officer" --assignee {assignee-upn} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -SignInName {assignee-upn} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {application-id} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Assegnazione di ruolo nell'ambito segreto

az role assignment create --role "Key Vault Secrets Officer" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -SignInName {i.e user@microsoft.com} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 00001111-aaaa-2222-bbbb-3333cccc4444} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

Prova e verifica

1. Convalidare l'aggiunta di un nuovo segreto senza il ruolo "Responsabile dei segreti di Key Vault" a livello di insieme di credenziali delle chiavi.

   1. Passare alla scheda "Access control (IAM)" del Key Vault e rimuovere l'assegnazione del ruolo "Key Vault Secrets Officer" per questa risorsa.

      

   2. Passare al segreto creato in precedenza. Puoi vedere tutte le proprietà segrete.

      

   3. La creazione di un nuovo segreto (Segreti +Genera/Importa) dovrebbe generare questo errore:

      Creare un nuovo segreto

2. Convalidare la modifica dei segreti senza il ruolo "Responsabile dei segreti di Key Vault" a livello di segreto.

   1. Passare alla scheda IAM (Secret Access Control) creata in precedenza e rimuovere l'assegnazione di ruolo "Key Vault Secrets Officer" per questa risorsa.

   2. Passare al segreto creato in precedenza. È possibile visualizzare proprietà segrete.

      

3. Convalidare i segreti letti senza ruolo Lettore a livello di insieme di credenziali delle chiavi.

   1. Passare alla scheda Access control (IAM) del gruppo di risorse key vault e rimuovere l'assegnazione di ruolo "lettore Key Vault".

   2. Se si passa alla scheda Segreti di key vault, verrà visualizzato questo errore:

      Scheda Segreto - Errore

Creazione di ruoli personalizzati

Comando az role definition create

az role definition create --role-definition '{ \
    "Name": "Backup Keys Operator", \
    "Description": "Perform key backup/restore operations", \
    "Actions": [], \
    "DataActions": [ \
        "Microsoft.KeyVault/vaults/keys/read ", \
        "Microsoft.KeyVault/vaults/keys/backup/action", \
        "Microsoft.KeyVault/vaults/keys/restore/action" \
    ], \
    "NotDataActions": [], \
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] \
}'

$roleDefinition = @"
{ 
    "Name": "Backup Keys Operator", 
    "Description": "Perform key backup/restore operations", 
    "Actions": [], 
    "DataActions": [ 
        "Microsoft.KeyVault/vaults/keys/read ", 
        "Microsoft.KeyVault/vaults/keys/backup/action", 
        "Microsoft.KeyVault/vaults/keys/restore/action" 
    ], 
    "NotDataActions": [], 
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] 
}
"@

$roleDefinition | Out-File role.json

New-AzRoleDefinition -InputFile role.json

Per altre informazioni su come creare ruoli personalizzati, vedere:

Azure ruoli personalizzati

Usare l'intelligenza artificiale per generare assegnazioni di ruolo di Key Vault

GitHub Copilot può aiutarti a creare i comandi corretti di Azure CLI o PowerShell per le assegnazioni di ruolo in Key Vault, in base ai requisiti specifici.

I need to set up Azure RBAC for my Key Vault. Help me create the role assignment commands for the following scenario:
- Key vault name: my-app-keyvault
- Resource group: my-app-rg
- Subscription ID: <my-subscription-id>
- I need to grant a managed identity (client ID: <managed-identity-client-id>) the ability to read and write secrets, but not manage keys or certificates.
Provide both Azure CLI and PowerShell commands, and explain which built-in role is most appropriate for this least-privilege scenario.

GitHub Copilot è alimentato dall'IA, quindi sono possibili sorprese ed errori. Per altre informazioni, vedere domande frequenti su Copilot.

Domande frequenti

È possibile utilizzare le assegnazioni a livello di oggetto del Controllo degli accessi in base al ruolo di Azure per fornire l'isolamento per i team di sviluppo applicazioni in Key Vault?

No. Il modello di autorizzazione Azure RBAC consente di assegnare l'accesso a singoli oggetti in Key Vault all'utente o all'applicazione, ma qualsiasi operazione amministrativa come il controllo accessi di rete, il monitoraggio e la gestione degli oggetti richiede autorizzazioni a livello del vault, che quindi esporrà informazioni riservate agli operatori ai team delle applicazioni.

Altre informazioni

• Informazioni generali sul controllo degli accessi in base al ruolo di Azure
• Assegna i ruoli di Azure usando il Azure portal
• Esercitazione sui ruoli personalizzati
• Secure your Azure Key Vault